Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), teknoloji üreticilerini ve müşterilerini SQL enjeksiyon güvenlik açıklarının oluşturduğu kalıcı tehdit konusunda uyardı.
Yirmi yılı aşkın süredir iyi belgelenmiş bir sorun olmasına rağmen, SQL enjeksiyonu (veya SQLi) güvenlik açıkları ticari yazılım ürünlerinde yaygın bir kusur olmaya devam ediyor ve binlerce kuruluşu risk altında bırakıyor.
Kalıcı SQL Enjeksiyon Tehdidi
SQL enjeksiyon güvenlik açıkları, kötü niyetli siber aktörlerin rastgele sorgular yürüterek veritabanının gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atmasına olanak tanır.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Yorgunluk Uyarısı.:
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Bu güvenlik açığı sınıfı, yazılım geliştiricilerin en iyi güvenlik uygulamalarına, özellikle de veritabanı sorgularının kullanıcı tarafından sağlanan verilerden ayrılmasına uymamalarından kaynaklanmaktadır.
Yönetilen bir dosya aktarım uygulamasındaki SQLi hatalarından yararlanan ve binlerce kişiyi etkileyen son kampanya, CISA ve FBI'ı, bu tehdidi ortadan kaldırmak için teknoloji üreticileri tarafından kodun resmi olarak gözden geçirilmesi yönünde teşvik etmeye sevk etti.
Tasarım Yoluyla Güvenli: Proaktif Bir Yaklaşım
“Tasarım Yoluyla Güvenli” konsepti, güvenlik önlemlerinin ürün geliştirmenin başlangıcından itibaren dahil edilmesinin önemini vurguluyor.
Bu yaklaşım, müşterilerin üzerindeki siber güvenlik yükünü azaltır ve kamu riskini en aza indirir.
MITRE'nin CWE Top 25 listesine göre, 2007'den bu yana “affedilemez” olarak etiketlenmesine rağmen SQL güvenlik açıkları, 2023'teki en tehlikeli ve inatçı yazılım zayıflıkları listesinde üst sıralarda yer almaya devam ediyor.
DeepBlue Security & Intelligence kısa süre önce Siber Güvenlik ve Altyapı Güvenlik Ajansı'nın (CISA) geliştiricilere yazılımlarındaki SQL enjeksiyon güvenlik açıklarını ortadan kaldırmalarını önerdiğini tweetledi.
SQL Enjeksiyonlarını Önleme
SQLi güvenlik açıklarıyla mücadele etmek için yazılım geliştiricilerin, SQL kodunu kullanıcı tarafından sağlanan verilerden etkili bir şekilde ayıran, hazırlanmış ifadelerle parametreli sorgular kullanmaları teşvik edilir.
Bu yöntem, kullanıcı girişinin yürütülebilir kod yerine veri olarak değerlendirilmesini sağlayarak SQL enjeksiyon saldırıları riskini azaltır.
Ancak CISA ve FBI, yalnızca atlanabilen ve geniş ölçekte uygulanması zor olan girdi temizleme tekniklerine güvenmemeye karşı uyarıyor.
Tasarım Yazılımıyla Güvenliği Sağlama İlkeleri
CISA ve FBI, Güvenli Tasarım yazılımına ulaşmak için üç temel ilkeyi özetledi:
- Müşteri Güvenliği Sonuçlarının Sahipliğini Alın:
- Üreticiler, parametrelendirilmiş sorgularla hazırlanmış bildirimleri benimseyerek ve güvenlik açıklarını belirlemek için resmi kod incelemeleri gerçekleştirerek güvenliğe öncelik vermelidir.
- Radikal Şeffaflığı ve Hesap Verebilirliği Benimseyin:
- Üründeki güvenlik açıklarının ifşa edilmesinde ve yazılım kusurlarının izlenmesinde şeffaflık çok önemlidir.
- Üreticiler, tüm güvenlik açığı sınıflarını ortadan kaldırmayı amaçlayan CVE programına katılmalıdır.
- Bu Hedeflere Ulaşmak İçin Organizasyon Yapısı ve Liderlik Oluşturun:
- Güvenlik, güvenli kodlama uygulamalarını ve proaktif güvenlik açığı tespitini teşvik etmeye yönelik yatırımlar ve teşviklerle birlikte temel bir iş hedefi olmalıdır.
Uyarı, yazılım üreticilerinin yalnızca SQL enjeksiyonlarını azaltmanın ötesinde kapsamlı bir dizi Tasarımla Güvenli Uygulamayı benimsemeleri için bir eylem çağrısı görevi görüyor.
Üreticilere, müşteri güvenliğine yönelik stratejik bağlılıklarını gösteren Tasarım Yoluyla Güvenli yol haritalarını yayınlamaları çağrısında bulunuluyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.